BLOCKCHAIN –GDPR. Condenados a entenderse

BLOCKCHAIN –GDPR. Condenados a entenderse

Aunque el Reglamento General de Protección de Datos (RGPD) sobre las personas físicas es de aplicación desde el 25 de mayo de 2018, tiene su origen el 25 de enero de 2012 con la presentación de la primera propuesta de Reglamento General de Protección de Datos.

Dicha propuesta o borrador inicial de 2012, así como sus modificaciones posteriores, tenía como objetivo garantizar y aumentar el control y la trasparencia por parte de los interesados de su información personal, el RGPD y los principios clásicos de protección de datos, fueron elaborados en un mundo en el que la gestión de datos estaba centralizada dentro de las organizaciones. Con la aparición de la tecnología Blockchain el modelo de gestión descentralizada de datos y la multitud de actores implicados en el tratamiento de los datos conducen a una definición más compleja en dicho tratamiento.

El término blockchain significa “cadena de bloques”, es decir un sistema distribuido de datos. Blockchain es una tecnología que apunta a la descentralización como medida de seguridad. De forma general se puede decir que se trata de bases de registros y datos distribuidos y compartidos con la función de crear un índice global para todas las transacciones que se generan en un determinado mercado. Funciona como libro de registro difícilmente modificable que contiene en orden cronológico y secuencial , de forma pública, compartida y universal, que crea consenso y confianza en la comunicación directa entre dos partes, o sea, sin intermedio ni terceros, es decir de forma descentralizada, sin un núcleo principal, formada por un conjunto de nodos distribuidos por todo el mundo

Si bien, tanto el RGPD como la tecnología blockchain buscan dar más control al individuo o interesado sobre la información, la forma en la que lo implementan puede ser opuesta. La normativa de protección de datos, y por tanto el RGPD, parte de la premisa que toda entidad u organización gestiona un sistema centralizado de la información en el que el responsable del tratamiento de los datos personales siempre tendrá un control de los mismos. Por lo tanto, el responsable de tratamiento, siempre podrá, dar respuesta a derechos reconocidos en la legislación – acceso, modificación, cancelación, etc.). Sin embargo, blockchain parte de la premisa de la lógica de la descentralización, de forma que ninguna organización puede tomar decisiones unilaterales sobre los datos que se encuentran registrados en la cadena de bloques.

Resulta difícil, por tanto desde el punto de vista práctico, intentar identificar al responsable del tratamiento de todos los datos personales que circulan en una de estas dos cadenas de bloques, ya que los datos están almacenados, como hemos visto, en sistemas de información descentralizados donde los usuarios que forman la red están distribuidos por todo el mundo, sin que exista ningún organismo central de control.

La autoridad francesa de protección de datos personales publicó el 6 de noviembre de 2018 un informe sobre la protección de datos personales y tecnologías de registro distribuido –blockchain– intentando clarificar algunas de las principales dudas al respecto del tratamiento:

  • Responsables del tratamiento

Se puede considerar Responsable del Tratamiento:

  • Cuando el participante es una persona física y la operación de procesamiento de datos personales está relacionada con una actividad profesional (es decir, cuando la actividad no es estrictamente personal).
  • Cuando dicho participante es una persona jurídica y registra datos personales en un blockchain
  • Corresponsabilidad en el tratamiento

Cuando un grupo de participantes deciden llevar a cabo las operaciones de procesamiento con un propósito común, se debe identificar de antemano el responsable del tratamiento. De lo contrario, todos los participantes podrían considerarse corresponsables, según lo previsto por el artículo 26 de la GDPR.

  • Encargados del tratamiento

En blockchain, el encargado de tratamiento, según lo definido en el GDPR, puede ser:

  • El desarrollador que procesa los datos personales en nombre de la participante, que es el controlador de datos;
  • los mineros que validan la transacción que contiene datos personales en un blockchain.
  • Ejercicio de derechos

El GDPR fue diseñado para dar control a las personas sobre la información personal. Por lo tanto, refuerza los derechos de los individuos incorporando incluso nuevos derechos. Aunque el ejercicio efectivo de algunos derechos no debería ser problemático con las características técnicas blockchains, como por ejemplo el derecho de información, el derecho de acceso e incluso el derecho a la portabilidad, el ejercicio de otros derechos puede presentar cuanto menos seria dudas en cuanto al efectivo ejercicio de los mismos por la misma naturaleza de la tecnología blockchain. El derecho de supresión y rectificación tal como hemos comentado anteriormente, y por la propia naturaleza de esta tecnología, no es técnicamente posible conceder la petición realizada por el interesado cuando los datos se ha registrado en un blockchain ante la imposibilidad de modificar o suprimir los datos en un bloque.

Por todo ello, son muchas las dudas que se plantean sobre el tratamiento de datos de carácter personal en blockchain que a día de hoy no están claras y  que la normativa europea o local no ha podido dar respuesta de manera clara, ya que en caso contrario las empresas podrían argumentar un retraso en la implantación de esta tecnología, por temor a la responsabilidad en caso de incumplimiento o asumir riesgos en su implantación, siendo por contra esta tecnología la que puede proporcionar una seguridad sin precedentes en términos de integridad de datos y seguridad de la información.

José Antonio Castrillo

José Antonio es Senior Manager del Área de Consultoría y GRC (Governance, Risk Management & Compliance). En 2014 se incorporó a Mazars como Senior Manager del área de Governance, Risk , Internal Control y Compliance. José Antonio es licenciado en Derecho, Máster en Dirección y Gestión de la información y Tecnología y Máster en derecho de Nuevas Tecnologías, Certificado CISA; CISM;CGEIT por ISACA así como Auditor de SO 27000 por BSI.

José Antonio Castrillo